(0) exportieren Drucken
Alle erweitern
6 von 7 fanden dies hilfreich - Dieses Thema bewerten.

VPN-Tunneling-Protokolle

Betrifft: Windows Server 2008

Tunnelprotokolle ermöglichen die Kapselung eines Pakets eines Protokolltyps innerhalb des Datagramms eines anderen Protokolls. Beispielsweise wird PPTP von VPN zur Kapselung von IP-Paketen in einem öffentlichen Netzwerk wie dem Internet verwendet. Sie können eine VPN-Lösung konfigurieren, die auf PPTP (Point-to-Point Tunneling Protocol), L2TP (Layer Two Tunneling Protocol) oder SSTP (Secure Socket Tunneling Protocol) basiert.

PPTP, L2TP und SSTP sind unbedingt von den Features abhängig, die ursprünglich für das Point-to-Point-Protokoll (PPP) festgelegt wurden. PPP wurde für das Senden von Daten über DFÜ- oder dedizierte Punkt-zu-Punkt-Verbindungen entwickelt. Für IP werden von PPP IP-Pakete innerhalb von PPP-Rahmen gekapselt und dann die gekapselten PPP-Pakete über eine Punkt-zu-Punkt-Verbindung übertragen. PPP war ursprünglich als Protokoll für den Einsatz zwischen einem DFÜ-Client und einem Netzwerkzugriffserver gedacht.

PPTP

PPTP ermöglicht die Verschlüsselung und anschließende Kapselung von Multiprotokolldatenverkehr in einem IP-Header, der über ein IP-Netzwerk oder ein öffentliches IP-Netzwerk, z. B. das Internet, versendet wird. PPTP kann für RAS- und Standort-zu-Standort-VPN-Verbindungen eingesetzt werden. Wenn das Internet als öffentliches Netzwerk für VPN verwendet wird, ist der PPTP-Server ein PPTP-fähiger VPN-Server mit einer Schnittstelle zum Internet und einer zweiten Schnittstelle zum Intranet.

Kapselung

PPP-Rahmen werden von PPTP für die Übertragung über das Netzwerk in IP-Datagrammen gekapselt. Von PPTP wird eine TCP-Verbindung für die Tunnelverwaltung und eine modifizierte Version von GRE (Generic Routing Encapsulation) zur Kapselung von PPP-Rahmen für getunnelte Daten verwendet. Der Inhalt der gekapselten PPP-Rahmen kann verschlüsselt, komprimiert oder verschlüsselt und komprimiert sein. Die nachfolgende Abbildung zeigt die Struktur eines PPTP-Pakets, das ein IP-Datagramm enthält.

Struktur eines PPTP-Pakets, das ein IP-Datagramm enthält

Struktur eines PPTP-Pakets, das ein IP-Datagramm enthält

Verschlüsselung

Der PPP-Rahmen wird mit der Microsoft Punkt-zu-Punkt-Verschlüsselung (Microsoft Point-to-Point Encryption, MPPE) unter Verwendung von Verschlüsselungsschlüsseln verschlüsselt, die vom MS-CHAP v2- oder EAP-TLS-Authentifizierungsprozess generiert wurden. VPN-Clients müssen das MS-CHAP v2- oder EAP-TLS-Authentifizierungsprotokoll verwenden, um den Inhalt der PPP-Rahmen zu verschlüsseln. Die zugrunde liegende PPP-Verschlüsselung wird von PPTP genutzt und ein zuvor verschlüsselter PPP-Rahmen wird gekapselt.

L2TP

L2TP ermöglicht die Verschlüsselung von Multiprotokolldatenverkehr und das anschließende Senden über jedes Medium, das die Punkt-zu-Punkt-Datagrammübermittlung unterstützt, z. B. IP oder der asynchrone Übertragungsmodus (Asynchronous Transfer Mode, ATM). L2TP ist eine Kombination von PPTP und L2F (Layer 2 Forwarding), einer Technologie, die von Cisco Systems, Inc., entwickelt wurde. L2TP vereint die besten Features von PPTP und L2F.

Im Gegensatz zu PPTP verwendet die Microsoft-Implementierung von L2TP nicht MPPE zur Verschlüsselung von PPP-Datagrammen. Von L2TP wird für Verschlüsselungsdienste die Internetprotokollsicherheit (Internet Protocol Security, IPSec) im Transportmodus verwendet. Die Kombination von L2TP und IPsec wird als L2TP/IPsec bezeichnet.

Sowohl L2TP als auch IPsec müssen vom VPN-Client und vom VPN-Server unterstützt werden. Die Clientunterstützung für L2TP wurde in die RAS-Clients von Windows Vista® und Windows XP integriert, und die VPN-Serverunterstützung für L2TP wurde in die Betriebssysteme der Windows Server® 2008- und Windows Server 2003-Produktfamilien integriert.

L2TP wird zusammen mit TCP/IP installiert.

Kapselung

Die Kapselung für L2TP/IPsec-Pakete umfasst zwei Stufen:

Erste Stufe: L2TP-Kapselung

Ein PPP-Rahmen (ein IP-Datagramm) wird in einen L2TP-Header und einen UDP-Header eingebunden.

Die nachfolgende Abbildung zeigt die Struktur eines PPTP-Pakets, das ein IP-Datagramm enthält.

Struktur eines L2TP-Pakets, das ein IP-Datagramm enthält

Struktur eines L2TP-Pakets, das ein IP-Datagramm enthält
Zweite Stufe: IPsec-Kapselung

Die resultierende L2TP-Nachricht wird anschließend in einen IPsec-ESP-Header und -Trailer (Encapsulating Security Payload), in einen IPsec-Authentifizierungstrailer zur Bereitstellung der Nachrichtenintegrität und Authentifizierung sowie in einen abschließenden IP-Header eingebunden. Im IP-Header befinden sich die Quell- und Ziel-IP-Adressen für den VPN-Client und den VPN-Server.

Die folgende Abbildung zeigt L2TP und IPSec-Einkapselung für einen PPP-Datagramm.

Verschlüsselung von L2TP-Datenverkehr mit IPsec-ESP

Verschlüsselung von L2TP-Verkehr mit IPsec ESP

Verschlüsselung

Die L2TP-Nachricht wird mit dem Datenverschlüsselungsstandard (Data Encryption Standard, DES) oder mit Triple DES (3DES) unter Verwendung von Verschlüsselungsschlüsseln verschlüsselt. Diese wurden vom Internetschlüsselaustausch-Aushandlungsprozess (Internet Key Exchange, IKE) generiert.

SSTP

SSTP (Secure Socket Tunneling Protocol) ist ein neues Tunnelprotokoll, das das HTTPS-Protokoll über den TCP-Port 443 für Datenverkehr durch Firewalls und Webproxies verwendet, die den PPTP- und L2TP/IPsec-Datenverkehr blockieren könnten. SSTP bietet einen Mechanismus zur Kapselung von PPP-Datenverkehr über den SSL-Kanal (Secure Sockets Layer) des HTTPS-Protokolls. Die Verwendung von PPP ermöglicht die Unterstützung starker Authentifizierungsmethoden wie EAP-TLS. SSL bietet TLS (Transport Level Security) mit verbesserter Schlüsselaushandlung, Verschlüsselung und Integritätsprüfung.

Wenn ein Client versucht, eine SSTP-basierte VPN-Verbindung herzustellen, wird von SSTP zuerst eine bidirektionale HTTPS-Ebene zum SSTP-Server erstellt. Über diese HTTPS-Ebene werden diese Protokollpakete als Dateninhalt versendet.

Kapselung

Von SSTP werden PPP-Rahmen in IP-Datagrammen für die Übertragung über das Netzwerk gekapselt. Von SSTP wird eine TCP-Verbindung (über Port 443) für die Tunnelverwaltung sowie für PPP-Datenrahmen verwendet.

Verschlüsselung

Die SSTP-Nachricht wird mit dem SSL-Kanal des HTTPS-Protokolls verschlüsselt.

Auswählen eines Tunnelprotokolls

Wenn Sie zwischen den RAS-VPN-Lösungen mit PPTP, L2TP/IPsec oder SSTP eine Auswahl treffen, sollten Sie Folgendes beachten:

  • PPTP kann für eine Vielzahl von Microsoft-Clients, einschließlich Microsoft Windows 2000, Windows XP, Windows Vista und Windows Server 2008, eingesetzt werden. Im Gegensatz zu L2TP/IPsec erfordert PPTP nicht die Verwendung einer Public Key-Infrastruktur (Public Key Infrastructure, PKI). PPTP-basierte VPN-Verbindungen sorgen durch Verschlüsselung für die Vertraulichkeit der Daten (abgefangene Pakete können ohne den Verschlüsselungsschlüssel nicht interpretiert werden). PPTP-basierte VPN-Verbindungen bieten jedoch keine Datenintegrität (Nachweis, dass die Daten bei der Übertragung nicht verändert wurden) oder Datenursprungsauthentifizierung (Nachweis, dass die Daten vom autorisierten Benutzer stammen).

  • L2TP kann nur für Clientcomputer unter Windows 2000, Windows XP oder Windows Vista verwendet werden. L2TP unterstützt entweder Computerzertifikate oder einen vorinstallierten Schlüssel als Authentifizierungsmethode für IPsec. Die Computerzertifikatauthentifizierung, die empfohlene Authentifizierungsmethode, erfordert eine PKI zur Ausstellung von Computerzertifikaten für den VPN-Servercomputer und alle VPN-Clientcomputer. Durch die Verwendung von IPsec bieten L2TP/IPsec-VPN-Verbindungen Datenvertraulichkeit, Datenintegrität und Datenauthentifizierung.

    Im Gegensatz zu PPTP und SSTP ermöglicht L2TP/IPsec die Computerauthentifizierung auf IPsec-Ebene und die Benutzerebenenauthentifizierung auf PPP-Ebene.

  • SSTP kann nur für Clientcomputer unter Windows Vista Service Pack 1 (SP1) oder Windows Server 2008 verwendet werden. Durch die Verwendung von SSL bieten SSTP-VPN-Verbindungen Datenvertraulichkeit, Datenintegrität und Datenauthentifizierung.

  • Alle drei Tunneltypen verwenden PPP-Rahmen über dem Netzwerkprotokollstapel. Daher sind die allgemeinen Features von PPP wie Authentifizierungsschemas, IPv4- und IPv6-Aushandlung und Netzwerkzugriffsschutz (Network Access Protection, NAP) bei allen drei Tunneltypen identisch.

Weitere Verweise

  • PPTP ist in RFC 2637 in der IETF RFC-Datenbank dokumentiert (möglicherweise in englischer Sprache).

  • L2TP ist in RFC 2661 in der IETF RFC-Datenbank dokumentiert (möglicherweise in englischer Sprache).

  • L2TP/IPsec ist in RFC 3193 in der IETF RFC-Datenbank dokumentiert (möglicherweise in englischer Sprache).

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.

Community-Beiträge

HINZUFÜGEN
Anzeigen:
© 2014 Microsoft. Alle Rechte vorbehalten.